홈으로 돌아가기

Marimo CVE-2026-39987 취약점: 3분 만에 키 도난

Marimo의 치명적인 CVE-2026-39987 취약점으로 열린 WebSocket 터미널 통해 원격 코드 실행 허용. 공격자들이 수분 만에 클라우드 키 탈취, Sysdig에서 공격 기록. 즉시 업데이트 및 시크릿 변경 권장하여 위험 최소화.

해커, 180초 만에 Marimo 해킹: 취약점 세부 정보
Advertisement 728x90

마리모 취약점: 공개 터미널을 통해 해커가 클라우드 키를 분당 도난

마리모 파이썬 노트북 플랫폼에 존재하는 심각한 취약점 CVE-2026-39987은 공격자가 시스템에 무단 원격 접근할 수 있도록 허용했다. 이 문제 공개 후 단 10시간 만에 공격이 시작되며, 클라우드 서비스 인증 정보 탈취가 주요 목표였다.

문제의 기술적 세부 사항

이 취약점은 마리모 버전 0.20.4 미만에서 발생하며, 웹소켓 엔드포인트 /terminal/ws와 관련된다. 이 엔드포인트는 접근 제어 없이 대화형 터미널을 제공하며, 공격자는 현재 프로세스의 권한을 그대로 획득할 수 있다. CVSS 점수는 10점 중 9.3으로, 매우 높은 위험성을 나타낸다.

개발팀은 2026년 4월 8일에 이 문제를 확인하고, 버전 0.23.0에서 즉시 패치를 출시했다. 그러나 발표 후 12시간 내에 시스디그(Sysdig)은 125개의 IP 주소에서 스캔 활동을 감지했다. 첫 번째 악성 사용은 10시간 이내에 발생했다.

Google AdInline article slot

공격 시나리오 및 실행 속도

공격자는 간단한 절차를 따랐다:

  • 웹소켓에 연결한다.
  • pwd, whoami, ls 명령어로 환경을 확인한다.
  • .env 파일과 SSH 키를 검색한다.
  • 클라우드 서비스 키를 포함한 환경 변수를 덤프한다.

전체 과정은 약 180초(3분) 내에 완료됐다. 공격은 악성코드나 마이너 설치 없이 수작업으로 진행되었으며, 데이터를 빠르게 추출하는 것이 목적이다. 한 IP 주소는 1시간 후 다시 돌아와 재확인했다.

개발자와 데이터 과학자에게 미치는 위험

마리모는 데이터 분석가와 머신러닝 전문가 사이에서 인기 있는 대화형 파이썬 노트북 도구다. 특히 --host 0.0.0.0 옵션을 사용할 경우 외부 네트워크에서 접근이 가능해져, AWS, 구글 클라우드 등 다양한 서비스의 인증키가 유출될 수 있다. 이로 인해 데이터 유출, 금융 피해, 연쇄 공격 등의 사태가 발생할 수 있다.

Google AdInline article slot

보호 조치 및 권고 사항

  • 즉시 버전 0.23.0로 업데이트하기
  • 마리모에 대한 네트워크 접근 제한하기
  • /terminal/ws에 대한 연결 모니터링 강화하기
  • 의심되는 모든 키는 즉시 교체하기
  • 편집 시 VPN 또는 방화벽 사용하기

핵심 요약

  • 인증 없이 원격 코드 실행(RCE)이 가능해 수천 명의 개발자에게 위협이 된다.
  • 취약점 공개 후 10시간 내 공격이 시작되며, 공격 속도가 빨라지고 있다.
  • 주요 타깃은 .env 파일 내의 클라우드 서비스 비밀번호다.
  • 패치는 출시되었지만, 수백 개의 IP에서 지속적인 스캔이 이루어지고 있다.
  • 데이터 과학 도구의 오픈성과 보안의 갈등을 드러낸 사건이다.

맥락과 산업적 함의

개발 도구에서는 편의성과 보안이 충돌하는 경우가 흔하다. 2025~2026년 동안 주피터(Jupyter)와 스트림릿(Streamlit)에서도 유사한 문제가 발생했으며, 시스디그의 분석에 따르면 공격 증가율이 40%에 달했다. 결과적으로 기업들이 클라우드 자원을 통제하지 못하게 되었고, 제로 트러스트 모델의 필요성이 더욱 강조되고 있다. 유럽과 라틴 아메리카 국가들 역시 데이터 과학의 클라우드 이전이 가속화되면서, 개인정보 보호법(GDPR 등) 위반 우려가 커졌다.

— Editorial Team

Advertisement 728x90

다음 읽기